1 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Úloha sítě při zajištění kybernetické bezpečnosti
Ivo Němeček, CCIE #4108 Manager, Systems Engineering
Konference ISSS, 8. 4. 2014
2 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Bezpečnostní model
PŘED Zjištění
Blokování
Obrana
BĚHEM POTÉ Řízení
Vynucení
Posílení
Rozsah
Omezení
Zotavení
Nepřetržité útoky
Sít Koncové prvky Mobilní Virtuální Cloud
Koncentrované Spojité
3 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Obrana v síti
zařízení Síť
Vhled, kontext a řízení
NetFlow Data pro vhled
do komunikace od
přístupové vrstvy
Jednotný pohled na síť
pro detekci, vyšetřování
a výkazy
Obohacení Flow dat o
identitu, událostí a aplikační
info pro kontext
KDO
CO KDE
KDY
JAK
Cisco ISE
Cisco ISR G2 + NBAR
NG FW / IPS
Kontext
4 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Řízení přístupu do sítě podle kontextu
IDENTITA PROFILOVÁNÍ
VLAN 10 VLAN 20
Wireless LAN Controller
DHCP
RADIUS
SNMP
NETFLOW
HTTP
DNS
ISE
Jednotná správa přístupu
802.1x EAP ověření uživatele
1
HQ
14:38
Profilování zařízení
2
6
Plný nebo omezený přístup přidělen
Vlastní zařízení
Firemní zařízení
3
Stav zařízení
Definice pravidel
4
5
Prosazení pravidel v síti
Firemní
zdroje
pouze
internet
5 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
CDP
LLDP
DHCP
MAC
CDP
LLDP
DHCP
MAC
KLASIFIKACE ZAŘÍZENÍ
TISKÁRNA Videotelefon
Pravidla pro tiskárnu
[připoj do VLAN X]
Pravidla pro videotelefon
[omezený přístup]
ISE
Pravidla
Profilování zařízení v přepínaných i bezdrátových sítích
Sběr dat – přepínač
shromažďuje data
týkající se zařízení a
předává je do ISE
Klasifikace – ISE klasifikuje
zařízení, shromažďuje
informace o datovém toku a
poskytuje informace o zařízení
Autorizace – ISE
uplatňuje pravidla
podle vyprofilovaného
kontextu
Řešení Typický scénář spolupráce ISE a Cisco IOS Sensor
ISE Profiler
+ IOS Sensor
Rozpoznávání připojených zařízení
WLAN
AP
6 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
NAC Profiler
Catalyst
Switch
802.1X
MAB
Directory Server
NAC Guest Server
Web Auth
RADIUS
Různé mětody autorizace (VLAN,
Downloadable ACL, URL Redirect, SGA)
Pružná definice pravidel
pro ověřování,
řízení přístupu podle rolí
Kompletní Guest Service
včetně správy a web
ověřování
Profiling System pro zjišťování
stavu stanic pro široké spektrum
koncových zařízení
Postupné nasazování 802.1X
(Monitor Mode, Low Impact Mode,
High Security Mode)
Pružné definované ověřovací metody
(802.1X, MAB, Web Auth v různém
pořadí)
host
zaměstnanec
tiskárna
ISE
Přidělování oprávnění po ověření
7 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Řízení v síti podle rolí Trustsec
Nexus® 7K, 5K and 2K
Datové Centrum
Cisco
ISE
Uživatel na
bezdrátu
Campus
síť Uživatel na
pevném
připojení
Cat 6K
Filtrování na výstupu
MACsec
Profiler
Posture
Guest služby
Filtrování na vstupu
Filtrování na vstupu
WLC
SXP
802.1X
RADIUS
8 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Typ zařízení Stav
zařízení
Pravidla
pro
přístup
Uživatel Místo čas
Vlastní
Přístupová metoda
9 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Integrace s MDM
• Administrátor může provést vzdáleně akce na zařízení přes MDM server (např. vymazat data)
MyDevices Portal
ISE Endpoints Directory
• Upravit
• Obnovit
• Ztráta?
• Odstranit
• Zcela vymazat
• Vymazat firemní
• Uzamknout
Volby
10 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
CORPORATE RESOURCES
Důvěrnost přenosů i v LAN sítích Ochrana dat pomocí šifrování L2 (MACSec)
Viditelnost datových toků pro
uplatňování bezpečnostních
pravidel a QoS
Důvěrnost dat se
zachovanou viditelností
datových toků
Šifrování na L2 –
„Hop by Hop”
Řešení Typický scénář nasazení
Šifrování dat In the Clear
Šifrování dat
802.1AE 802.1AE
Dešifrování na vstupu do rozhraní
Šifrování na výstupu
z rozhraní
Pakety uvnitř přepínače nejsou šifrované
Data v
otevřené
formě
11 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Key Fields Packet #1
Source IP 10.1.1.1
Destination IP 173.194.34.134
Source Port 20457
Destination Port 23
Layer 3 protocol 6
TOS byte 0
Ingres Interface Ethernet 0
Src. IP Dest. IP Src. Port Dest.
Port
Layer 3
Prot.
TOS
Byte
Ingress Intf.
10.1.1.1 173.194.34.13
4.
20457 80 6 0 Ethernet 0
Key Fields Packet #2
Source IP 10.1.1.1
Destination IP 72.163.4.161
Source Port 30307
Destination Port 80
Layer 3 protocol 6
TOS byte 0
Ingres Interface Ethernet 0
Src. IP Dest. IP Src. Port Dest.
Port
Layer 3
Prot.
TOS
Byte
Ingress Intf. App
Name
Times
tamps
Byttes Packets
10.1.1.1 173.194.34.13
4
20457 80 6 0 Ethernet 0 HTTP
10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube
NetFlow cache
Monitorování toků v síti Flexible NetFlow a NBAR
flow record app_record
match ipv4 source address
match ipv4 destination address
match …..
match application name
First packet of a flow will create the Flow entry using the Key Fields”
Remaining packets of this flow will only update statistics (bytes, counters, timestamps)
News
12 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Zařízení Přístup
Catalyst® 3750-X
Bra
nc
h
Ca
mp
us
D
ata
Ce
nte
r
Catalyst® 3560-X
Catalyst® 6500
Catalyst® 4500
Access Point
Access Point
Distribuce
Catalyst® 3750-X Stack
WLC
Catalyst® 6500
Edge
Site-to-Site VPN
FW
ISR
Catalyst® 6500
Remote
Access
Cisco ISE
Management
StealthWatch Management
Console
StealthWatch FlowCollector
Architektura řešení Cyber Threat Defense
S podporou
NetFlow
Sběr a analýza NetFlow záznamů
Korelace a zobrazení informací o tocích a identitě
Cisco TrustSec: Řízení přístupu, profiling a posture
NetFlow
Identity
AAA služby, profiling a inspekce koncových zařízení
NetFlow Iinfrastruktura
13 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Hybridní ochrana web komunikace s AnyConnect klientem
Novinky Email
Sociální sítě Podnikové
SaaS
Cisco Web
Security Appliance
Sdílení informací mezi
ASA a WSA
Firemní AD
ASA
AnyConnect
14 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Cisco AnyConnect Endpoints
Cisco ASA Context-Aware
Firewall
Cisco Web Security Appliances
Cisco IDS/IPS Appliances/
Modules
Cisco Cloud-based
Security
Zpětná vazba v reálném čase
Branch Cloud Edge Data Center
Cloud web security
Cisco Identity Services Engine
Globální telemetrie pro hrozby
Cisco SensorBase Bezpečnostní
operační středisko
Propracované
algoritmy
IP
Reputation
PSIRT
Applied
Mitigation
Cisco Email Security
Appliances
Centralizovaná inteligence Security Intelligence Operations (SIO)
15 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Centralizované řízení bezpečnosti SDN přístupem
Defense Center
Cisco APIC
Enterprise Module POKYN K NÁPRAVĚ
ZJIŠTĚNA HROZBA
AKTUALIZACE
Cisco
APIC -
Enterprise
Module APIC
16 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Shrnutí: moderní síť…
• Chrání sebe samu i připojené stanice
• Řídí přístup ke informacím podle kontextu
• Chrání komunikaci šifrováním
• Obsahuje a využívá pokročilé bezpečnostní funkce (FW, IPS,…)
• Vidí hluboko i do šíře do komunikace
• Poskytuje cenné telemetrické údaje
• Spolupracuje se specializovanými bezpečnostními systémy
Přesměrovává k nim data
Vyměňuje si s nimi informace
Aktivně reaguje na hrozby
17 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo Cisco Public © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Expo
Business
pravidla
Kdo Kdy Jak Kde Kdy
Porozumění
hrozbám
Dyn. aktualizace Operační středisko Globální inteligence
Prosazení
v síti
V síťové
infrastruktuře
Překryvné,
výkonné
Připojené do
cloudu
Děkuji